Guide pratique pour modifier les autorisations d’accès à Azure Monitor

Par défaut, lorsqu’une instance Grafana est créée, elle est fournie avec un rôle Lecteur de surveillance accordé sur toutes les données Azure Monitor et les ressources Log Analytics au sein de l’abonnement.

Cela signifie que la nouvelle instance Grafana peut accéder à toutes les données de surveillance de l’abonnement et les rechercher. Elle peut afficher les métriques et les journaux Azure Monitor à partir de toutes les ressources, ainsi que les journaux stockés dans les espaces de travail Log Analytics de l’abonnement.

Dans cet article, découvrez comment accorder manuellement à Azure Managed Grafana l’autorisation d’accéder à une ressource Azure à l’aide d’une identité managée.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Une instance Azure Managed Grafana. Si vous n’en avez pas, créez une instance Azure Managed Grafana.
• Ressource Azure avec des données de surveillance et des autorisations d’écriture, telles que Administrateur de l’accès utilisateur ou Propriétaire

Connexion à Azure

Connectez-vous au portail Azure sur https://portal.azure.com/ avec votre compte Azure.

Modifier les autorisations Azure Monitor

Pour modifier les autorisations sur une ressource spécifique, procédez comme suit.

Portail

1. Ouvrez une ressource qui contient les données de surveillance que vous souhaitez récupérer. Dans cet exemple, nous configurons une ressource Application Insights.

2. Sélectionnez Contrôle d’accès (IAM) .

3. En dessous de Autoriser l’accès à cette ressource, sélectionnez Ajouter une attribution de rôle.

   

4. Le portail répertorie tous les rôles que vous pouvez attribuer à votre ressource Azure Managed Grafana. Sélectionner un rôle. Par exemple, Lecteur de surveillance, puis sélectionnez Suivant.

5. Pour Attribuer l’accès à, sélectionnez Identité managée.

6. Cliquez sur Sélectionner des membres.

   

7. Sélectionner l’abonnement contenant votre instance Managed Grafana.

8. Pour Identité managée, sélectionnez Azure Managed Grafana.

9. Sélectionnez une ou plusieurs instances Managed Grafana.

10. Cliquez sur Sélectionner pour confirmer

    

11. Sélectionnez Suivant, puis Passer en revue + attribuer pour confirmer l’affectation de la nouvelle autorisation.

Pour plus d’informations sur l’utilisation de Managed Grafana avec Azure Monitor, accédez à Surveiller vos services Azure dans Grafana.

Azure CLI

Effectuez une attribution de rôle à l’aide de la commande az role assignment create.

Dans le code ci-dessous, remplacez les espaces réservés suivants :

• <assignee> : si son paramètre --assignee entrez alors l’ID d’objet du destinataire ou le nom de connexion de l’utilisateur ou le nom du principal du service. Si son paramètre --assignee-object-id entrez alors les ID d’objet pour les utilisateurs ou les groupes ou les principaux de service ou les identités managées. Pour les identités managées, utilisez l’ID de principal. Pour les principaux de service, utilisez l’ID d’objet et non l’ID d’application. Pour plus d’informations, reportez-vous à la commande az role assignment create.
• <roleNameOrId> : entrez le nom du rôle ou l’ID. Pour le lecteur de surveillance, entrez Monitoring Reader ou 43d0d8ad-25c7-4714-9337-8ba259a9fe05.
• <scope> : entrez l’ID complet de la ressource à laquelle Azure Managed Grafana doit accéder.

az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"

or

az role assignment create --assignee-object-id "<assignee>" --assignee-principal-type "<ForeignGroup / Group / ServicePrincipal / User>" \
--role "<roleNameOrId>" \
--scope "<scope>"

Exemple : attribuer à une instance Azure Managed Grafana l’autorisation d’accéder à une ressource Application Insights à l’aide d’une identité managée.

az role assignment create --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" --assignee-principal-type "ServicePrincipal" \
--role "Monitoring Reader" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/microsoft.insights/components/myappinsights/"

Pour plus d’informations sur l’attribution de rôles Azure à l’aide d’Azure CLI, consultez la documentation sur le contrôle d’accès en fonction du rôle.

Étapes suivantes

Guide pratique pour configurer des sources de données pour Azure Managed Grafana